Риски компьютерных систем — Страница 2

6 июня, 20176 июня, 2017

Активность на уровне тюрьмы

(Август 2011)

Среди обильного урожая плодов, порожденных компьютерным супер-червем Stuxnet, ныне обозначилась еще и реальная угроза для охраны мест заключения. Но хотя проблема налицо – к ответственности привлекать некого. Как обычно в подобных делах.

Хакерская конференция DefCon, каждый август проходящая в Лас-Вегасе, по давно сложившейся традиции устраивается в тандеме с более пестрым форумом Black Hat USA. Хотя и докладчики, и участники на этих двух мероприятиях естественным образом пересекаются, тематика DefCon значительно четче ориентирована на интересы государственных ведомств.

Среди выступлений нынешней, 19-й по счету, конференции 7 августа (2011) ожидается доклад на весьма редкую тему – о недавно выявленных серьезнейших слабостях ИТ-систем, обеспечивающих безопасность тюрем и прочих исправительных учреждений. Доклад делает весьма солидный исследовательский коллектив авторов, многие годы работающих в области обеспечения физической и инфотехнологической безопасности для государственных учреждений США.

Результаты докладываемой на форуме работы имеют самое непосредственное отношение к компьютерному червю Stuxnet, поскольку заложенные в эту вредоносную программу идеи и возможности с равным успехом можно применять, как выясняется, не только против иранской ядерной программы, но и против электронной техники, обеспечивающей безопасность практически всех американских тюрем.

Но прежде, чем переходить к содержательной части этого познавательного доклада, имеет смысл обратить внимание на два довольно загадочных «шпионских» сюжета, почти никак, казалось бы, не связанных с данной темой.

Читать «Активность на уровне тюрьмы» далее

13 февраля, 201717 февраля, 2017

RFID многоликая

(Ноябрь 2003)

Первая часть большой подборки материалов – о массовом приходе в нашу жизнь технологии RFID.

rfid-hall

В ноябре 2003 года почти одновременно в разных точках планеты прошли два независимых друг от друга мероприятия, тесно связанных, тем не менее, единым предметом обсуждения.

Сначала, 15 ноября в Массачусетском технологическом институте, США, прошел семинар «RFID и приватность» (от RadioFrequency IDentification — технология радиочастотной идентификации), в дискуссиях которого приняли участие ученые-разработчики, представители продвигающих технологию компаний, правозащитники и журналисты. Подобный научно-практический семинар организован впервые, однако актуальность его очевидна практически для всех, кто понимает, сколь серьезную угрозу тайне личной жизни представляют новейшие технологии бесконтактной идентификации и базы данных на этой основе.

Всего несколькими днями позже, 20-21 ноября, по другую сторону Атлантики, в парижском отеле «Шарль де Голль» состоялся большой международный конгресс ID World 2003. Под общим девизом «Революция идентификации в реальном и цифровом мирах» участники форума обсуждали достижения и перспективы бурно развивающихся ныне технологий RFID, биометрии, смарт-карт, а также в целом сбор информации на основе этих технологий.

Поскольку оба форума прошли практически в одно время, прежде всего бросилось в глаза то, сколь по-разному оценивают технологию бизнес-круги в зависимости от места, где она обсуждается.

На семинаре в МТИ много выступали правозащитники, рассказывавшие о лицемерии, двуличности и лжи, сопровождающих внедрение новых технологий идентификации. А представители бизнеса, в свою очередь, напирали на то, сколь сильно преувеличивают неспециалисты опасности чипов идентификации, сколь слабым и подверженным помехам является излучение RFID, как много способов сделать чип бездействующим и сколь легко его блокируют всякие материалы — от жидкостей и человеческого тела до пластмасс и фольги.[1]

Ну, а на парижском конгрессе ID World доклады рисовали совсем другую захватывающую картину: победного шествия новаций едва ли не во всех мыслимых сферах — от торговли и учета производства до охраны объектов.

rfid-tags

Читать «RFID многоликая» далее

29 января, 201729 января, 2017

Из хроники хайтек-паспортизации

Подборка кратких новостей за период 2004-2006 гг. — о хитростях и проколах в повсеместном внедрении новых удостоверений личности с чипами и биометрией.

passports-w-biometr

Все страньше и страньше

(Сентябрь 2004)

Эпопея с обязательным включением биометрической идентифицирующей информации в документы всех лиц, пересекающих границы США, получила новый, несколько неожиданный оборот. Госдепартамент США завершил в августе рассмотрение всех вариантов «биометрической» модификации новых американских загранпаспортов и принял решение в пользу наименее надежного из всех вариантов – опознания личности по лицу.

Читать «Из хроники хайтек-паспортизации» далее

19 ноября, 201619 ноября, 2016

Консервирование скоропортящихся продуктов

(Март 2002)

О попытках решения крайне нетривиальной проблемы – как обеспечить долгосрочное хранение информации в цифровую эпоху.

«Капсула времени», заложенная в 2000 г. в Нью-Йоркском музее естественной истории и среди прочего содержащая диск HD-Rosetta

Повальная компьютеризация нашей жизни и тотальный перевод в цифровую форму всего, что поддается оцифровке, — эти человеческие порывы становятся, похоже, наиболее характерной особенностью эпохи высоких технологий. Причем предпринимаются такого рода шаги (как правило) весьма торопливо, беспорядочно и спонтанно, без критического осмысления уже накопленного опыта и тщательных оценок возможных будущих последствий.

К счастью, вынесенная в скобки ремарка чрезвычайно важна, поскольку ныне «правила» начинают понемногу изменяться, и все больше людей проникаются важностью идеи обеспечения долговечного хранения оцифрованной информации.

Так, в Великобритании первая неделя весны (2002 г) ознаменовалась рождением межведомственной «Коалиции цифровой сохранности» или кратко DPC (Digital Preservation Coalition) — первой общенациональной организации, поставившей перед собой цель «обеспечить, чтобы порождаемая нами цифровая информация не утрачивалась для нынешнего и будущих поколений».

Среди главных организаторов Коалиции можно упомянуть государственный архив страны Public Record Office (PRO), Британскую библиотеку, Лондонский университет и Объединенный комитет по информационным системам образовательных учреждений (JISC). А одним из важнейших побудительных стимулов к созданию DPC стал фактический крах крупномасштабного мультимедийно-компьютерного проекта 16-летней давности под названием «BBC Domesday Project».

Читать «Консервирование скоропортящихся продуктов» далее

22 сентября, 201622 сентября, 2016

Смарт-карты: что показало вскрытие

(Сентябрь 2003)

Обзор методов взлома «самой безопасной» компьютерной технологии – как финал большой трехчастевой подборки материалов о защите платного ТВ (другие части см. тут: текст 1, текст 2).

camtamper

Индустрия смарт-карт переживает ныне период мощного расцвета. В 2002 году по всему миру было продано чуть меньше 2 миллиардов интеллектуальных карточек со встроенным микрочипом, а в ближайшие годы ожидается рост этих цифр в разы.

Причины тому просты, коль скоро области применения смарт-карт все время расширяются: от телефонной карты до жетона аутентификации пользователя ПК, от «электронного кошелька» для хранения цифровых наличных и до цифрового паспорта-идентификатора граждан.

Массовое внедрение смарт-карт в повседневную жизнь сопровождается непременными заверениями официальных представителей индустрии о том, что чип-карты – это наиболее безопасная из существующих на сегодня технологий, их, де, очень сложно, практически невозможно вскрывать. Однако так ли обстоят дела на самом деле?

Типичная смарт-карта – это 8-битный микропроцессор, постоянное запоминающее устройство или (ROM), оперативная память (RAM), электрически перепрограммируемая память (EEPROM или FLASH, где, в частности хранится криптографический ключевой материал), последовательные вход и выход. Все это хозяйство размещается в одном чипе, заключенном в корпус – обычно, пластиковую карту размером с кредитку.

Нравится это кому-то или нет, но вскрытие смарт-карт – явление весьма давнее и распространенное повсеместно. Как свидетельствуют специалисты, примерно с 1994 года практически все типы смарт-карточных чипов, использовавшихся, к примеру, в европейских, а затем в американских и азиатских системах платного ТВ, были успешно вскрыты кракерами методами обратной инженерной разработки.

Скомпрометированные секреты карт – схема и ключевой материал – затем продавались на черном рынке в виде нелегальных клон-карт для просмотра закрытых ТВ-каналов без оплаты компании-вещателю. Меньше освещенной в прессе остается такая деятельность, как подделка телефонных смарт-карт или электронных кошельков, однако известно, что и в этой области далеко не все в порядке с противодействием взлому.

Индустрии приходится регулярно заниматься обновлением технологий защиты процессора смарт-карт, кракеры в ответ разрабатывают более изощренные методы вскрытия, так что это состязание еще далеко не закончено.

Смарт-карты в своих потенциальных возможностях имеют целый ряд очень важных преимуществ в сравнении с другими технологиями. Обладая собственным процессором и памятью, они могут участвовать в криптографических протоколах обмена информацией, и, в отличие от карточек с магнитной полоской, здесь хранимые данные можно защищать от неавторизованного доступа.

Беда лишь в том, что реальная стойкость этой защиты очень часто переоценивается. Далее будет представлен краткий обзор наиболее важных технологий, используемых при вскрытии смарт-карт.

Эта информация важна для любого человека, желающего получить реальное представление о том, как происходит вскрытие защищенных устройств и каких затрат это стоит. Естественно, тщательное изучение применяемых методов вскрытия позволяет вырабатывать адекватные контрмеры и создавать намного более эффективную защиту смарт-карт.

Читать «Смарт-карты: что показало вскрытие» далее

16 июля, 201616 июля, 2016

Мета-организм и его здоровье

(Июль 2016)

Эта концепция пока еще не получила у человечества ни сколь-нибудь целостного осмысления, ни даже общепринятого собственного наименования. Одни называют это Холосом, другие – «всемирным роботом». Третьи предпочитают какие-то еще словесные конструкции, подчеркивающие те или иные особенности глобального, но пока что лишь нарождающегося инфотехнологического феномена.

1-IoT

Соответственно, и рассказывать об этом многогранном явлении можно тоже очень по-разному. В частности, с точки зрения компьютерной (не)безопасности системы. О рисках и уязвимостях такой незримой системы, которая начинается от базовых бытовых вещей, окружающих людей в повседневной жизни, а заканчивается на уровне единой всемирной сети, уже охватившей планету в целом…

В начале лета этого года Федеральная торговая комиссия США, ведающая в государстве вопросами регулирования коммерции, направила Министерству торговли особый меморандум, посвященный большим проблемам с безопасностью и защитой информации в системах Internet of Things, то есть в «Интернете Вещей» (IoT или ИнВ). Под этим названием, как известно, принято понимать широчайший спектр всевозможных электронных устройств, подсоединенных к глобальной сети ради расширения их общей функциональности и наращивания искусственного интеллекта.

И коль скоро тема угроз и уязвимостей в ИнВ считается ныне весьма горячей, попутно вышло так, что меморандум государственно-коммерческих структур США оказался обрамлен выступлениями двух высокопоставленных руководителей американских разведслужб. Которые, что очевидно из речей боссов, тоже активно занимаются изучением перспектив на этом направлении, причем с нарастающим интересом.

Читать «Мета-организм и его здоровье» далее

17 июня, 201617 июня, 2016

Мобильная самозащита

(Март 2004)

Дурак говорит, мудрый человек слушает. [Африканская пословица]

pict

Насколько сотовый телефон может быть опасен для жизни и здоровья его владельца? Даже никак не касаясь крайне мутной, плохо пока еще изученной области микроволновых воздействий на организм и степени их вредности, специалисты выделяют по меньшей мере пять мест, в которых мобильный телефон имеет смысл отключать (см. http://www.cellphonesafety.info).

Место #1: в самолете. Теоретически имеется шанс просто свалиться с неба, поскольку излучение телефона может фатально повлиять на работоспособность бортовых электронных систем. На практике известно несколько авиакатастроф, основной причиной которых предполагается не вовремя затеянный разговор по сотовой связи.

Место #2: на автозаправочной станции. Если у людей обычно хватает благоразумия не курить и не зажигать спички на бензоколонках, то разговоры по мобильной связи многими не воспринимаются как нечто опасное. Хотя минздрав и тут предупреждает — лучше не болтать, иначе, при неудачном стечении обстоятельств, все может взорваться к чертовой матери.

Место #3: в больницах. Здесь здоровью владельца телефона (если он / она — не пациент) ничего не угрожает, но от беспечного использования аппарата могут пострадать жизни других людей. Известны случаи, когда из-за сотовых телефонов отключались системы поддержания жизнедеятельности в реанимационных отделениях. В других случаях отключается соображение у врачей, как в Гонконге, к примеру, где некий хирург и его больной попали в серьезнейшие неприятности, поскольку в процессе сложной операции доктор чересчур увлекся посторонним разговором по мобильнику.

Место #4: за рулем автомобиля. Водитель, болтающий по приложенному к уху сотовому телефону, — хуже пьяного. Это экспериментально установленный факт. Специально проведенные в Британии исследования показали, что у занятого телефонным разговором шофера оказываются более медленная реакция, большее время на остановку и больше незамеченных дорожных знаков, чем у водителей в реально наказуемой для этой страны степени опьянения. По данным канадских врачей, количество смертельных исходов при дорожных авариях в четыре раза выше в тех случаях, когда водитель в момент произошедшего разговаривал по сотовому телефону.

Места #5: в кино, театре, тихом ресторане и прочих подобных заведениях. Здесь любители шумно общаться по телефону все чаще просто рискуют элементарно получить по морде. Сотрудники больниц свидетельствуют, что у них явно растет количество пациентов, обращающихся за медицинской помощью с подбитым глазом или сломанным ребром — как результатами эмоциональных разборок на почве пользования мобильником в неподобающем месте.

Такое социальное явление, как “ярость от сотовых телефонов” понемногу обретает формы чуть ли не самостоятельного общественного движения. Чтобы убедиться в этом, достаточно в окне запроса поисковой интернет-системы ввести соответствующие слова — “cell phone rage”. Система даст ссылки на огромное количество сайтов, посвященных этой проблеме и методам борьбы — коллективным и индивидуальным —с “напастью” сотовых телефонов, используемых не в том месте и не в то время.

Читать «Мобильная самозащита» далее

26 мая, 201626 мая, 2016

Оптический обман

(Июнь 2002)

optical-attack

На прошедшем в Окленде, Калифорния, симпозиуме IEEE по приватности и безопасности был представлен метод вскрытия смарт-карт и защищенных микроконтроллеров, получивший название «optical fault induction attack» («атака оптическим индуцированием сбоев», https://www.cl.cam.ac.uk/~sps32/ches02-optofault.pdf).

Это совершенно новый класс атак, разработанный в Компьютерной лаборатории Кембриджского университета аспирантом Сергеем Скоробогатовым (выпускником МИФИ 1997 года) и его руководителем Россом Андерсоном (Ross Anderson).

Суть метода в том, что сфокусированное освещение конкретного транзистора в электронной схеме стимулирует в нем проводимость, чем вызывается кратковременный сбой. Такого рода атаки оказываются довольно дешевыми и практичными, для них не требуется сложного и дорогого лазерного оборудования. Например, сами кембриджские исследователи в качестве мощного источника света использовали фотовспышку, купленную в магазине подержанных товаров за 30 долларов.

Для иллюстрации мощи новой атаки была разработана методика, позволяющая с помощью вспышки и микроскопа выставлять в нужное значение (0 или 1) любой бит в SRAM-памяти микроконтроллера. Методом «оптического зондирования» (optical probing) можно индуцировать сбои в работе криптографических алгоритмов или протоколов, а также вносить искажения в поток управляющих команд процессора.

Читать «Оптический обман» далее

17 мая, 201617 мая, 2016

Автомобиль как компьютер: угрозы и риски

(Май 2016)

auto_hacking

Угроза национальной безопасности

В апреле нынешнего года городу Детройту – как столице автопромышленности США – довелось принимать у себя Всемирный конгресс международного Общества автомобильных инженеров. Среди же основных докладов на этом форуме наиболее неожиданным для всех, вероятно, оказалось выступление «человека со стороны» – заместителя Генерального прокурора США Джона Карлина, отвечающего за вопросы национальной безопасности.

Как это ни странно, но речь высокого госчиновника была действительно посвящена автомобилям. Точнее, множеству связанных в сеть компьютеров на борту всякой современной автомашины. А еще точнее, тому, что каждая такая мобильная сеть, находясь на трассе, постоянно поддерживает ныне сложные беспроводные коммуникации с другими компьютерными сетями и участниками движения. А потому риски массового и злонамеренного хакинга подобных систем возрастают многократно – вплоть до масштабов серьезной потенциальной угрозы для безопасности государств…

В качестве особо подходящего фона для этого выступления надо упомянуть, что буквально накануне, в марте 2016, с весьма похожими по сути обращениями уже выступили ФБР и федеральные законодатели из Конгресса США. Но только обращались они не к автомобильным инженерам, а к существенно иным аудиториям.

Совместная публикация ФБР и NHTSA (Администрации по безопасности движения на национальных автотрассах США) была предназначена для широкой общественности в целом. Этот документ не только в развернутой форме предупредил всех автоводителей об актуальности рисков автомобильного хакинга, но и дал целый ряд практических рекомендаций по защите компьютерной начинки машин. Что же касается законодателей из американского Конгресса, то от сенаторов прозвучали специальные послания для капитанов автоиндустрии – с призывом к ним и к их акционерам начать уделять повышенное внимание проблемам укрепления кибербезопасности машин.

Сопоставляя все эти три выступления, несложно, наверное, сообразить, что столь характерная синхронность в действиях сразу трех ветвей власти – судебной, исполнительной и законодательной – наверняка не может быть случайностью. Как показывает опыт предыдущих подобных реакций, причиной является, скорее всего, какой-то внутренний секретный отчет, подготовленный аналитиками спецслужб или специально учрежденной комиссии, а затем разосланный для ознакомления по высоким инстанциям.

Обычно сам факт существования и содержание подобного рода аналитических отчетов перестают быть тайной лишь много лет спустя, когда их рассекречивают по запросам озабоченной и что-то проведавшей общественности. Однако именно в данном случае история проблемы складывалась так, что восстановить объективную картину вполне возможно и прямо сейчас – с опорой на достоверную открытую информацию.

Читать «Автомобиль как компьютер: угрозы и риски» далее

4 мая, 20164 мая, 2016

Пища для размышлений

(Апрель 2016)

Эту военную технику именуют по-разному. Одни говорят о роботах-убийцах, другие предпочитают термин «системы летальных автономных вооружений». Но как бы это ни называлось, угрозы нового оружия для человечества уже очень серьезны.

Robot-at-war

В середине апреля этого года, в Женеве под эгидой ООН прошла третья «неофициальная встреча экспертов» по проблемам и вопросам вокруг полностью автоматизированных военных систем, способных убивать людей самостоятельно.

Для того, чтобы стало сразу понятно, сколь серьезно воспринимаются ныне такие проблемы, достаточно отметить, что среди специалистов роботы-убийцы расцениваются как «третья великая революция» в военном деле. То есть речь идет о технологии уничтожения, по значимости сравнимой лишь с изобретением пороха и ядерного оружия.

Читать «Пища для размышлений» далее